Mobile Sicherheit wird in vielen Unternehmen noch stiefmütterlich behandelt, urteilt eine aktuelle Studie der Experton Group zum Thema IT-Sicherheit in deutschen Anwenderunternehmen. Danach glaubt nur jeder Dritte ausreichend gegen Sicherheitsbedrohungen geschützt zu sein. 56 Prozent der Befragten messen der Sicherheit für mobile Geräte eine hohe Priorität zu und mit Blick auf mobile Netzwerke sind dies sogar 60 Prozent. Während aber bereits drei Viertel der befragten Unternehmen mobile Endgeräte im Geschäftsalltag einsetzen und damit auf Unternehmensdaten zugreifen, mangelt es an der Absicherung vor fremdem Zugriff.
Selbst einfach zu realisierende Sicherheitsmaßnahmen wie Passwortschutz sind nicht überall Standard – nur jedes zweite Unternehmen macht davon Gebrauch. Und nur 28 Prozent der Befragten verschlüsseln ihre Daten auf dem Endgerät. Dabei bieten vor allem mobile Lösungen bei unsachgemäßer Handhabung fehlenden Sicherheitsvorkehrungen Angriffspunkte. Im Extremfall könnten unbefugte Dritte solche Sicherheitslücken nutzen, um an interne und geheime Unternehmensdaten zu gelangen. Denn wer es dem Angreifer zu einfach macht, muss im Grunde jederzeit damit rechnen, dass seine Geschäftsdaten ausspioniert werden.
Nur eine ganzheitliche Sicherheitslösung, die Geräte-, Anwendungs- und Netzwerksicherheit sowie Datenschutz gleichermaßen berücksichtigt, schafft hier die eine angemessene Absicherung. Und speziell im Endgerätebereich sollten Unternehmen an ein mehrstufiges Sicherheitskonzept denken, dass neben Passwortschutz weitere Zugangsmechanismen und beispielsweise auch Datenverschlüsselung bietet.
Gelegenheit macht Diebe
Von Juni bis Dezember 2004 wurden 11.303 Laptops und 31.469 Handhelds weltweit in Taxis vergessen, so eine Studie des schwedischen Security-Unternehmen Pointsec Mobile Technologies. Befinden sich die mobilen Geräte erst einmal in fremden Händen, fällt es den Dieben oft nicht schwer an die Daten heranzukommen. Einfache Passworteingaben reichen hier als Schutz bei weitem nicht aus. Denn sämtliche Accounts inklusive Zugriffs¬rechten sowie User-Namen und Passwörter lassen sich mittels spezieller Tools auslesen, wenn ein Windows-Rechner beispielsweise über CD gebootet wird. Auch ein BIOS-Passwort, das beim Einschalten des Rechners abgefragt wird und unberechtigtes Hochfahren des Notebooks verhindern soll, bringt keineswegs die gewünschte Sicherheit. Dieser Schutz greift schon dann nicht mehr, wenn die Festplatte in einen anderen Rechner eingesetzt wird. Hätte der Notebook¬besitzer allerdings seine Daten zusätzlich zu allen Passwortabfragen verschlüsselt, würde der Unbefugte anstatt der Daten ein Muster von Nullen und Einsern sehen, das nur mit dem verwendeten Verschlüsselungstreiber auflösbar ist.
Zusätzliche Schutzmaßnahmen
Eine Festplattenverschlüsselung ist beim Notebook während des laufenden Betriebes möglich. Hierfür schaltet die Sicherheitssoftware einen Treiber zwischen Betriebssystem und Festplatte. Dieser bewirkt bei jedem lesenden Zugriff eine Entschlüsselung und zieht bei jeder schreibenden oder speichernden Aktion eine Verschlüsselung nach sich. Aus Sicherheits¬gründen sollten alle Daten und nicht nur ein Teil verschlüsselt werden. Denn Office-Programme legen viele Daten in temporären Dateien ab, deren Speicherort selten bekannt ist.
Das gilt für die Auslagerungsdatei, mit der Diebe den letzten Speicherzustand rekonstruieren können. Manche der Verschlüsselungslösungen setzen zudem eine Authentifizierung via USB-Stick- oder Smartcard-Token ein. Beim Einstecken des Token erfolgt ein automatisches Login und alle Daten sind lesbar, beim Entfernen wird der Benutzer automatisch abgemeldet. Diese Sicherungsmechanismen können mit einem biometrischen Fingerabdruck für ein noch höheres Maß an Sicherheit kombiniert werden. Nur mit dem richtigen Finger wird dann der Zugang zum Betriebssystem, die Anmeldung im Internet oder der Zugriff auf wichtige, extra geschützte Daten möglich. Wem das alles noch nicht sicher genug ist, der kann eine virtuelle „Sprengladung“ installieren: Ein Tool, das beim Eintreten vorher definierter Ereignisse aktiviert wird und bestimmte Daten oder den gesamten Inhalt der Festplatte in Sekundenschnelle zerstört.
Sollte eine nicht autorisierte Person dennoch Zugang zum Endgerät erlangen und versuchen auf das interne Unternehmensnetz zuzugreifen, sind starke Benutzer-Authentifizierungs-maßnahmen notwendig, um dies zu verhindern. Die für die Authentifizierung eingesetzten Techniken sind vielfältig und reichen von Benutzernamen und Passwort über biometrischen Fingerabdruck bis hin zu ausgefeilten PKI (Public Key Infrastructure)-Lösungen.
Unterschätzte Gefahr
Doch Gefahr droht nicht nur von außen, sondern auch von innen. Gerade die internen Bedrohungen werden oft unterschätzt. Dabei haben Angreifer aus den eigenen Reihen leichten Zugang zu den Daten und können sie manipulieren, entwenden oder zerstören. Um auch dieser Bedrohung entgegenzuwirken, sollten Unternehmen Sicherheitsanwendungen einsetzen, die das gesamte Netzwerk permanent überwachen und auch interne Angriffe identifizieren, lokalisieren und unterbinden können.
Martina Gruhn